我有一个现有的Cisco ASA 5520在外部接口上configuration了一个/ 28子网。 我的主机提供商只是给我提供了一个新的非相邻/ 28子网,它被路由到我的ASA的外部接口。
这是当前的IPconfiguration
1.1.1.145 --> ISP Gateway 1.1.1.146 --> ISP Reserved 1.1.1.147 --> ISP Reserved 1.1.1.148 --> Primary ASA Outside Int 1.1.1.149 --> Secondary ASA Outside Int 1.1.1.150 - 1.1.1.158 --> Usable IPs 2.2.2.240 - 2.2.2.254 --> New Subnet, Routed to 1.1.1.148 我试图使用2.2.2.240 IP在ASA上创build一个NAT,但似乎没有工作。 从我所能理解的情况来看,我可能需要在ASA上添加一个路由,但是我不知道应该添加什么。
应该是这样的
route Outside 2.2.2.240 255.255.255.240 1.1.1.148 1
如果他们将子网路由到您(到ASA拥有的旧子网上的地址),那么您只需要做NAT; 您的ASA将不会“拥有”自己的接口的地址之一。 入站stream量的路由发生在NAT之后,出站stream量的路由将被您的默认路由所捕获。
只是NAT应该正常工作,所以configuration的那个部分有什么问题。 你可以提供这种configuration,也可能是从外部到新范围地址的模拟连接的packet-tracer输出?
就像Shane所说:你应该做的就是添加一个NAT规则,使用新的IP和匹配的ACL之一。 那应该在那之后工作。
但是我想知道你的提供者是否以不同的方式来传递这两个块 1.1.1.x的路由很可能仅指定出站接口,而2.2.2.x的路由则使用网关IP(防火墙)。 如果是这样的话,那么这两个模块之间实际上有一点区别。 询问您的提供商,并告诉他们将2.2.2.x IP与1.1.1.x完全一样。 如果你决定改变你的防火墙的外部IP地址,那么他们真的没有必要去路由到一个网关IP,并且可能会破坏一些东西。
如果这也没有帮助,那么再仔细看看你的NAT和ACL。 不要忘记,您可以轻松地使用ASDM执行数据包捕获 – 这将为您提供关于stream量是否到达防火墙的确定答案。
问题是外部接口上的两个networking都将需要一个默认网关。 如果你想在这两个公共networking之间路由stream量而不涉及防火墙,你将不得不为每一个添加明确的路由。
什么是2.2.2子网连接? 它显然也有互联网连接,因为你没有指定它被路由到1.1.1。 默认网关。
我会把2.2.2.240子网放在一个DMZ中,并使防火墙接口成为.241。 不要担心应用备用IP,因为这些仅用于pipe理辅助防火墙。